美国于2021年5月12日发布了《关于改善国家网络安全》的第14028号行政命令(EO),明确要求美国联邦政府加强软件供应链安全管控。为响应号召,国家标准与技术研究所(NIST)于2021年6月25日发布了《Definition of Critical Software UnderExecutive Order(EO)14028(行政命令14028下的“关键软件”定义)》,并于2021年7月9日发布了《SecurityMeasures for “EO-Critical Software” Use Under Executive Order(EO)14028(“EO关键软件”使用的安全措施)》,这表明美国正逐步推进EO行政命令的执行。按照下图《EO第4节任务及时间线》,美国正逐步发布“关键软件”的相关要求及指南,并推进其最终落实,预计将于2022年5月基本完成。
美国《关于改善国家网络安全》的第14028号行政命令(EO)第4节任务及时间线近年来,随着国际竞争的加剧,软件供应链安全事件呈现明显上升趋势。我国的软件产业相对于美国还比较落后,在很多软件开发项目中,大量使用了开源、“免费”的库包模块以及代码仓库、开发工具、测试软件、集成软件、打包软件和部署软件等。有数据表明,这样开发的软件存在大量的已知或未知漏洞,甚至包含后门、木马程序,这给我国的网络空间安全埋下了严重隐患,尤其在关键信息基础设施、重要数据处理系统中,此问题尤为突出。美国《关于改善国家网络安全》第4节规定了“关键软件”的相关要求,为我国解决软件供应量安全问题提供了参考思路。本文重点介绍《Definition of Critical Software Under Executive Order(EO)14028(行政命令14028下的“关键软件”定义)》,并提供全文翻译,为国内网络安全从业人员及关注者提供参考。
NIST《行政命令14028下的“关键软件”定义》及翻译
“EO关键软件”被定义为任何具有或直接依赖一个或多个组件的软件,这些组件至少有以下属性之一:被设计运行于高权限或管理权限;
能直接或授权访问网络或计算资源;
被设计用于控制数据访问或操作技术(OT);
执行“信任的关键”功能;
使用访问权限,在正常信任边界之外执行操作。
在当前的版本中,给出了“EO关键软件”的初步列表,包含了以下11类软件:身份、凭证和访问管理(ICAM)
操作系统、虚拟化程序、容器环境
Web浏览器
终端安全
网络控制
网络保护
网络监控和配置
运行监控和分析
远程扫描
远程访问和配置管理
备份/恢复和远程存储
“EO关键软件”定义是基于软件的功能,而不是它的用途,与软件的部署环境、场景无关,这有利于软件供应商判断他们的产品是否是“EO关键”的,这也将使市场更加清晰。在“EO关键软件”的管理范畴上,主要考虑的是软件在运行中的作用,仅关注实际使用中的软件,而排除了开发、测试、研究、归档等情况。并且在实施初期,将重点放在具有安全关键功能或有类似重大潜在危害的独立本地软件上,而控制数据访问的软件、基于云的软件、软件开发工具、嵌入式软件或OT中的软件等将在后续计划中逐步覆盖。我国多年来持续推进各类软硬件系统的自主可控发展,并受到各行各业的广泛支持,完成了大量的国产化改造。但由于我国软件产业发展程度的制约,软件开发中普遍存在的问题在国产化软件中仍旧存在。从美国“关键软件”的思维来看,我国应在国产化普及的同时,重点对起到关键作用的软硬件产品进行更为严格的安全能力要求,并在现有的审查机制中加强关键软件安全能力的评价。天融信将持续关注软件供应链安全的前沿进展,后续将为您带来更多精彩内容。
扫描二维码,阅读完整版译文
翻译为公益性质,仅供信息安全产业相关研究人员、管理人员参考,如有错漏敬请指正。